{{tag>securite pare-feu}}

----
====== IPS : Système de prévention d'intrusion ======

Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les risques d'impact d'une attaque. C'est un IDS actif, il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. ( [[wpfr>ips|wikipedia]] )

Un ips rentre aujourd'hui dans la nouvelle définition des [[pare-feu|pare-feux]].

===== IPS reseau =====

<note tip>Le mise en place de Snort en tant qu'ips doit se faire avec réflexion et analyse des impactes de tel ou tel type de règles.

La machine faisant firewall devra avoir 2 cartes réseaux, et avoir suffisamment de mémoire RAM.

{{ http://doc.emergingthreats.net/pub/Main/SnortConfSamples/BleedingNetworkTopology.gif }}
Source : [[http://doc.emergingthreats.net/bin/view/Main/SnortConfSamples|emergingthreats.net]]
</note>
   * [[Snort Inline]] - solution officielle, désormais intégrée dans snort : compiler avec l'option --enable-inline
   * En conjonction de [[snort]] :
       * [[fwsnort]] - ([[apt://fwsnort|installer]])
       * [[Guardian]] - Active Response for Snort ([[http://www.chaotic.org/guardian/|site]])
       * [[SnortSam]] ([[http://www.snortsam.net/|site]]) 
       * [[Snort2c]] ([[http://snort2c.sourceforge.net/|site]]) ((fork de snort2pf))
       * [[Snort2pf]] ([[http://sourceforge.net/projects/snort2pf/|site]])
       * [[Barnyard]] : Barnyard permet de prendre en charge l’inscription des événements en base de données et libère donc des resources à Snort qui peut davantage se concentrer sur la détection des intrusions. 
   * [[hlbr]]
   * [[Suricata]]


   * [[psad]] ([[apt://psad|installer]]) - Détection de scannage de port

===== IPS hote -HIPS =====
   * [[Ossec]]
   * [[Samhain]]
   * [[fail2ban]] ([[apt://fail2ban|installer]]) - blocage d'ip suite à des tentives de connections à des services sur une machine ( possiblement une attaque brute force ).
   * [[bastille]] ([[apt://bastaille,perl-tk|installer]]) : Outil de renforcement de la sécurité système, en mode interractif.

=====Monitoring=====
   * [[Prelude]].
   * [[BASE]]
====Sniffing====
   * pmacct ([[apt://pmacct|installer]])
   * nast ([[apt://nast|installer]])
=====Pages connexes=====
   * voir [[securite]], [[pare-feu]]
   * voir [[reseau]], [[serveur]]
   * voir [[rootkit]] et [[antivirus]]

=====Ressource=====

====Tutoriels====
   * [[http://www.howtoforge.com/snort-ossec-prelude-on-ubuntu-gutsy-gibbon|Intrusion Detection: Snort (IDS), OSSEC (HbIDS) And Prelude (HIDS) On Ubuntu Gutsy Gibbon]]
   * [[ http://aldeid.com/index.php/Snort|Présentation, tutoriel, et configuration de l'IDS Snort]]
       *  [[http://aldeid.com/index.php/Snort:Contre_mesure:Execution_Guardian|Exécution de test sur snort + Guardian ( d'abord sur une machine virtuel )]] 
====Liens externes====

===honeypot===
<note tip>
Un [[wpfr>honeypot]] (en français pot de miel) est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les pirates informatiques.</note>
   * http://www.honeynet.org/papers/honeynet/
   * http://www.spitzner.net/honeypot.html
   * http://www.tracking-hackers.com/book/
===A titre de comparaison === 

[[https://projects.honeynet.org/honeywall/|Honeywall]], est une distribution basée sur CentOS, qui collecte les données, analyse et enregistre les communications réseaux jugées anormales. Pour ce faire, Honeywall contient les éléments suivants :

- Librairie de capture de trames réseaux (libpcap)
- Un logiciel de détection/prévention d'intrusions réseaux (Snort Inline)
- Un outil de capture et analyse des flux applicatifs (Sebek)
- Un outil d'analyse de netflow (Argus)
- Un outil de détection de prise d'empreinte passif (p0f)
- Un outil de fusion des données (Hflow)

[[http://sourceforge.net/projects/efw/|Endian]], distribition destinée à créer un firewall puissant, contenant antivirus ( [[ClamAV antivirus]] ) ips, snort inline ( règle à ajouter soi meme), Antispam. Interface d'Administration et de monitoring web. ( ainsi que beaucoup d'autres fonctions liés aux services réseaux ).

===== Pages en rapport avec IPS =====

{{backlinks>ips}}

Contributeurs : [[:utilisateurs:psychederic|Psychederic]], ...//